CJI doc. 474 15 rev. 2
Anuncio
86o PERÍODO ORDINARIO DE SESIONES 23-27 de marzo de 2015 Rio de Janeiro, Brasil OEA/Ser.Q CJI/doc. 474/15 rev.2 26 marzo 2015 Original: inglés INFORME DEL COMITÉ JURÍDICO INTERAMERICANO. PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES El Comité Jurídico Interamericano adoptó la “Propuesta de Declaración de Principios de Privacidad y Protección de Datos Personales en las Américas” en su octogésimo período ordinario de sesiones, celebrado en México, D.F., mediante la resolución CJI/RES. 186 (LXXX-O/12) (marzo de 2012). La finalidad de estos principios es instar a los Estados Miembros de la Organización a que adopten medidas para que se respete la privacidad, la reputación y la dignidad de las personas. Su propósito es servir de base para que los Estados Miembros consideren la posibilidad de formular y adoptar leyes con objeto de proteger la información personal y los intereses en materia de privacidad de las personas en las Américas. En su cuadragésimo cuarto período ordinario de sesiones (Asunción, junio de 2014), la Asamblea General de la OEA tomó nota de la resolución del Comité y le encomendó que, antes del cuadragésimo quinto período ordinario de sesiones de la Asamblea General, “formule propuestas a la CAJP sobre las distintas formas de regular la protección de datos personales, incluyendo un proyecto de Ley Modelo sobre Protección de Datos Personales, tomando en cuenta los estándares internacionales alcanzados en la materia” AG/RES. 2842 (XLIV-O/14). En el octogésimo tercer período ordinario de sesiones del Comité Jurídico Interamericano (agosto de 2013), el Presidente pidió al doctor David P. Stewart que actuara en calidad de relator del tema. Tal como se informó al Comité en su octogésimo quinto período ordinario de sesiones, el Relator siguió consultando con expertos y otros que intervienen en la formulación de principios y prácticas pertinentes, incluso en el ámbito de la Unión Europea y otros grupos regionales, así como con representantes de instituciones gubernamentales, académicas, empresariales y no gubernamentales. También se pidió a los Estados Miembros de la Organización que informaran sobre sus prácticas y leyes vigentes en la materia. Sobre la base de esas consultas, el Relator concluyó que la orientación más productiva para este proyecto en este momento sería elaborar una propuesta de guía legislativa para los Estados Miembros. La guía se basaría en los 12 principios adoptados anteriormente por el Comité, con algunas modificaciones menores, teniendo en cuenta los diversos conjuntos de directrices preparados en la Unión Europea, la OCDE, APEC, etc. El objetivo es explayarse en los principios, proporcionando un contexto más amplio y orientación a los Estados Miembros a fin de facilitar la elaboración de leyes nacionales. De esta forma, el tema central sigue siendo los principios fundamentales y las prácticas óptimas, teniendo en cuenta la experiencia de otros en este campo, en vez de tratar de llegar a un acuerdo sobre los detalles exactos de un texto legislativo preciso. En opinión del Relator, el campo de la privacidad personal y la protección de datos sigue caracterizándose por rápidos adelantos tecnológicos, así como una evolución constante de las amenazas a la privacidad personal. Asimismo, las respuestas a estos adelantos y amenazas han sido diferentes en distintas regiones del mundo. En las Américas no parece haber surgido un enfoque “regional” uniforme y coherente. La contribución más importante que puede hacer el Comité es aprovechar las experiencias y los logros de otras regiones, teniendo en cuenta al mismo tiempo la situación de nuestro propio continente, a fin de formular una propuesta de marco que los Estados de las Américas puedan usar para abordar este campo crucial. La explicación propuesta de los principios se adjunta al presente informe. -2- PRINCIPIOS DE LA OEA SOBRE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS PERSONALES CON ANOTACIONES La finalidad de los Principios de la OEA sobre la privacidad y la protección de datos personales es establecer un marco para salvaguardar los derechos de la persona a la protección de los datos personales y a la autodeterminación en lo que respecta a la información. Los principios se basan en normas reconocidas a nivel internacional. Su intención es proteger a las personas de la recopilación, el uso, la retención y la divulgación ilícitos o innecesarios de datos personales. La siguiente explicación detallada de los principios tiene por objeto proporcionar una guía para la preparación e implementación de leyes nacionales y normas conexas en los Estados Miembros de la OEA. Cada Estado Miembro de la OEA debe adoptar e implementar una política clara y eficaz de apertura y transparencia para todos los adelantos, prácticas y políticas con respecto a los datos personales. En ese sentido, cada Estado Miembro de la OEA debe ofrecer oportunidades apropiadas a las personas y las organizaciones afectadas para que formulen observaciones y contribuciones a las leyes concretas que se propongan. Cada Estado Miembro debe determinar cuál es la mejor manera de implementar estos principios en su ordenamiento jurídico interno. Sea por medio de leyes, normas u otros mecanismos, los Estados Miembros deben establecer reglas efectivas para la protección de datos personales que den efecto al derecho de la persona a la privacidad y que respeten sus datos personales, protegiendo al mismo tiempo el derecho de la persona a beneficiarse del libre flujo de información y del acceso a la economía digital. Las normas nacionales deben asegurar que los datos personales se recopilen únicamente con fines legítimos y se procesen de una manera justa, legal y no discriminatoria. La finalidad de las normas debe ser que las personas reciban la información necesaria sobre las personas o entidades que recopilan datos, los fines para los cuales se recopilan, los mecanismos de protección conferidos a las personas y las formas en que las personas pueden ejercer esos derechos. Deben asegurar que aquellos que recopilan, procesan, usan y difunden datos personales lo hagan de forma apropiada y con el debido respeto de los derechos de la persona. Al mismo tiempo, la normativa nacional debe proteger el derecho de las personas a beneficiarse de la economía digital y los flujos de información que la sustentan. Debe buscar un equilibrio entre el derecho de las personas a controlar la forma en que se recopilan, almacenan y utilizan sus datos personales y su derecho a tener acceso a los datos, así como los intereses de las organizaciones en el uso de datos personales con fines comerciales legítimos y razonables en una economía basada en datos. Las normas relativas a la privacidad deben permitir que los consumidores y las empresas se beneficien del uso de datos personales de una manera segura y protegida. Deben ser equilibradas y tecnológicamente neutrales y permitir el libre flujo de datos dentro de cada país y a través de fronteras nacionales de una manera que fomente la innovación tecnológica y promueva el desarrollo económico y el crecimiento del comercio. Además de 1) proteger efectivamente la privacidad personal y 2) garantizar el libre flujo de datos para promover el progreso económico, los Estados Miembros de la OEA deben 3) aplicar una política clara de transparencia con respecto a sus políticas y procedimientos. A fin de que las personas puedan ejercer efectivamente sus derechos, deben saber y comprender cómo funcionan las reglas y con qué protecciones y procedimientos cuentan. La finalidad de estos principios es proporcionar los elementos básicos de una protección efectiva. Los Estados podrían ofrecer mecanismos de protección adicionales para la privacidad de los datos personales, teniendo en cuenta las funciones y los propósitos legítimos para los cuales se recopilen y se usen en beneficio de las personas. En general, los principios reflejan la importancia de la efectividad, la razonabilidad, la proporcionalidad y la flexibilidad como elementos rectores. -3- Ámbito de aplicación Estos principios se aplican a los sectores público y privado por igual, es decir, tanto a los datos personales generados, recopilados o administrados por entidades públicas como a los datos recopilados y procesados por entidades privadas 1 . Se aplican tanto a los datos personales impresos como a los archivos electrónicos. No se aplican a los datos personales utilizados por una persona exclusivamente en el contexto de su vida privada. Los principios están relacionados entre sí y deben interpretarse en conjunto. El concepto de privacidad El concepto de privacidad está consagrado en el derecho internacional. Se basa en los conceptos fundamentales del honor personal y la dignidad, así como en la libertad de expresión, pensamiento, opinión y asociación. Hay disposiciones relativas a la protección de la privacidad, el honor personal y la dignidad en los principales sistemas de derechos humanos del mundo. En las Américas, estos conceptos están claramente establecidos en el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en los artículos 11 y 13 de la Convención Americana sobre Derechos Humanos (“Pacto de San José”) (1969) (apéndice A). La Corte Interamericana de Derechos Humanos ha confirmado el derecho a la privacidad 2 . Además, la constitución y las leyes fundamentales de muchos Estados Miembros de la OEA garantizan el respeto y la protección de la privacidad, la dignidad personal y el honor familiar, la inviolabilidad del hogar y las comunicaciones privadas, los datos personales y conceptos conexos. Casi todos los Estados Miembros de la OEA han adoptado algún tipo de ley con respecto a la protección de la privacidad y los datos (aunque sus disposiciones varían considerablemente en lo que se refiere a su enfoque, ámbito de aplicación y contenido). En consonancia con estos derechos fundamentales, los principios de la OEA reflejan los conceptos de autodeterminación en lo que respecta a la información, la ausencia de restricciones arbitrarias del acceso a los datos, y la protección de la privacidad, la identidad, la dignidad y la reputación. Al mismo tiempo, tal como se reconoce en todos los ordenamientos jurídicos, el derecho a la privacidad no es absoluto y puede tener limitaciones razonables relacionadas de manera racional con metas apropiadas. El concepto del libre flujo de información Asimismo, los principios fundamentales de la libertad de expresión y de asociación y el libre flujo de información se reconocen en los principales sistemas de derechos humanos del mundo, entre ellos el sistema de la OEA; por ejemplo, en el artículo IV de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en el artículo 13 de la Convención Americana (apéndice A). Estos derechos civiles y políticos esenciales se reflejan en las Américas en la constitución y las leyes fundamentales de todos los Estados Miembros de la OEA (aunque cabe reiterar que sus 1. 2. Con respecto al derecho específico de las personas de tener acceso a la información pública, véase la Ley Modelo Interamericana sobre Acceso a la Información Pública, adoptada por la Asamblea General de la OEA el 8 de junio de 2010 mediante la resolución AG/RES. 2607 (XL-O/10), en la cual se incorporan los principios enunciados por la Corte Interamericana de Derechos Humanos en Claude Reyes vs. Chile, Sentencia de 19 de septiembre de 2006 (Serie C No 151), así como los Principios sobre el Derecho de Acceso a la Información, adoptados por el Comité Jurídico Interamericano mediante la resolución CJI/RES. 147 (LXXIII-O/08). “[E]l ámbito de la privacidad se caracteriza por quedar exento e inmune a las invasiones o agresiones abusivas o arbitrarias por parte de terceros o de la autoridad pública”, Caso de las Masacres de Ituango vs. Colombia, Sentencia de 1 de julio de 2006 (párr. 149), que se encuentra en http://www.corteidh.or.cr/docs/casos/articulos/seriec_148_esp.pdf. -4- disposiciones varían considerablemente en cuanto a su enfoque, ámbito de aplicación y contenido). Son cruciales para la promoción de la democracia y las instituciones democráticas. En una “sociedad de la información” centrada en la persona y orientada al desarrollo, la protección del derecho de las personas a tener acceso a información y conocimientos, a usarlos y a difundirlos puede ayudar a las personas, a las comunidades y a los pueblos a alcanzar su pleno potencial, promover el desarrollo sostenible y mejorar la calidad de vida en general, de acuerdo con los propósitos y principios de la Carta de la OEA y con nuestros instrumentos regionales de derechos humanos. Definiciones Datos personales. Tal como se usa en estos principios, la frase “datos personales” abarca la información que identifica o puede usarse de manera razonable para identificar a una persona en particular de forma directa o indirecta, especialmente por referencia a un número de identificación o a uno o más factores referidos específicamente a su identidad física, fisiológica, mental, económica, cultural o social. La frase no abarca la información que no identifica a una persona en particular (o no puede usarse de manera razonable para identificarla). En los principios, la palabra “datos” se usa intencionalmente en un sentido amplio a fin de conferir la protección más amplia posible a los derechos de las personas afectadas, independientemente de la forma particular en que se recopilen, se almacenen, se recuperen, se usen o se difundan los datos. En general, en los principios se evita el uso de la frase “información personal”, la cual, por sí sola, podría interpretarse en el sentido de que no incluye “datos” específicos tales como elementos fácticos, “bits” almacenados electrónicamente o registros digitales. Análogamente, la palabra “datos” podría interpretarse en el sentido de que no incluye compilaciones de hechos que, tomados en conjunto, permitan sacar conclusiones sobre la persona o las personas en particular. Por ejemplo, los detalles relativos a la estatura, el peso, el color del cabello y la fecha de nacimiento de dos personas podrían constituir “datos” que, al compararlos, revelen la “información” de que son hermano y hermana o tal vez gemelos idénticos. A fin de promover la mayor protección posible de la privacidad, estos principios se aplicarían en ambos casos y no permitirían que un controlador de datos efectuara distinciones de ese tipo. A efectos de estos principios, solo la gente (personas físicas) tiene intereses en materia de privacidad, a diferencia de los dispositivos, las computadoras o los sistemas mediante los cuales interaccionan. Tampoco tienen intereses en materia de privacidad las organizaciones u otras personas jurídicas con las que tratan. Los menores (personas que no han llegado a la edad adulta) también tienen intereses legítimos en materia de privacidad que deben reconocerse y protegerse efectivamente en la legislación nacional. Controlador de datos. Tal como se usa en esta guía, la frase “controlador de datos” significa la persona física o jurídica, entidad privada, autoridad pública u otro organismo u organización que (solo o junto con otros) se encarga del almacenamiento, el procesamiento, el uso, la protección y la difusión de los datos en cuestión. En general abarca las personas físicas o jurídicas o las autoridades facultadas por las leyes nacionales para tomar decisiones con respecto al contenido, el propósito y el uso de un archivo de datos o una base de datos. En algunas circunstancias, esta frase se aplica también a entidades que pueden describirse como “recopiladores de datos”, ya que, en la mayoría de los casos, la entidad que almacena, usa y difunde los datos personales también se encarga (de manera directa o indirecta) de recopilarlos. Procesador de datos. La frase “procesador de datos” se refiere más específicamente a la persona física o jurídica, entidad privada, autoridad pública u otro organismo u organización que (solo o junto con otros) procesa los datos en cuestión. Por lo general, el procesador de datos es diferente del recopilador de datos. En algunos casos, el controlador de datos podría ser también el procesador de datos o podría efectuar arreglos para que otros se ocupen del procesamiento sobre la base de una relación contractual. La frase “procesamiento de datos” se usa en un sentido amplio y abarca toda operación o conjunto de operaciones realizado con datos personales, como recopilación, registro, almacenamiento, alteración, recuperación, divulgación o transferencia. -5- Autoridad responsable de la protección de datos. Algunos Estados Miembros de la OEA han establecido organismos reguladores nacionales que se encargan de establecer y hacer cumplir leyes, normas y requisitos relativos a la protección de datos personales a fin de mantener la uniformidad en todo el país. En otros Estados Miembros se han establecido normas y autoridades en materia de protección de datos en distintos niveles del gobierno (nacional, regional y municipal). En otros, los sistemas de reglamentación difieren según el sector o la esfera de actividad (bancaria, médica, educacional, etc.) y la responsabilidad podría estar distribuida entre organismos reguladores y entidades privadas con responsabilidades legales específicas. Como no se observa un enfoque particular en los distintos Estados Miembros de la OEA, en estos principios se trata de no abordar la naturaleza específica, la estructura, las autoridades y las responsabilidades de estas “autoridades responsables de la protección de datos”. No obstante, se insta a los Estados Miembros a que establezcan disposiciones, procedimientos o instituciones jurídicos, administrativos y de otros tipos que sean apropiados y eficaces para proteger la privacidad y las libertades individuales con respecto a los datos personales. Deben crear medios razonables para que las personas ejerzan sus derechos y fomentar y apoyar la autorregulación (con códigos de conducta o por otros medios) de los controladores de datos y los procesadores de datos. Asimismo, deben establecer sanciones y recursos adecuados para los casos de incumplimiento y cerciorarse de que no se discrimine injustamente contra los titulares de los datos. Los Estados Miembros deben establecer también los requisitos mínimos para cualquier tipo de protección de datos que las autoridades escojan, a fin de proporcionarles los recursos, el financiamiento y la pericia técnica que necesiten para desempeñar sus funciones eficazmente. Titular de los datos. Esla persona cuyos datos personales se recopilan, procesan, almacenan, utilizan o difunden. Datos personales sensibles. La frase “datos personales sensibles” se refiere a una categoría más estrecha que abarca los datos que afectan a los aspectos más íntimos de las personas físicas. Según el contexto cultural, social o político, esta categoría podría abarcar, por ejemplo, datos relacionados con la salud personal, las preferencias sexuales, las creencias religiosas o el origen racial o étnico. En ciertas circunstancias podría considerarse que estos datos merecen protección especial porque, si se manejan o divulgan de manera indebida, podrían conducir a graves perjuicios para la persona o a discriminación ilegítima o arbitraria. En los principios se reconoce que la sensibilidad de los datos personales puede variar según la cultura y cambiar con el tiempo y que los riesgos de ocasionar daños reales a una persona como consecuencia de la divulgación de datos podrían ser insignificantes en una situación en particular pero podrían poner en peligro la vida en otra. PRINCIPIOS DE LA OEA SOBRE PROTECCIÓN DE LA PRIVACIDAD Y LOS DATOS PERSONALES CON ANOTACIONES PRINCIPIO UNO: PROPÓSITOS LEGÍTIMOS Y JUSTOS Los datos personales deben ser recopilados solamente para fines legítimos y por medios justos y legales. Este principio abarca dos elementos: 1) los “fines legítimos” para los cuales se recopilan inicialmente los datos personales y 2) los “medios justos y legales” con los cuales se efectúa la recopilación inicial. La premisa es que muchas o incluso la mayoría de las intrusiones en los derechos de las personas pueden evitarse si se respetan los conceptos conexos de legalidad y justicia desde el comienzo, cuando se recopilan inicialmente los datos. Desde luego, estos principios se aplican y deben respetarse en todo el proceso de recopilación, compilación, almacenamiento, utilización, divulgación y eliminación de datos personales, no solo en el momento de su recopilación. Sin -6- embargo, es más probable que se cumplan y se respeten si se recalcan y se respetan desde el comienzo. -7- Fines legítimos El requisito de legalidad del fin para el cual se recopilan, retienen y procesan datos personales es una norma fundamental, profundamente arraigada en valores democráticos básicos y en el estado de derecho. En principio, la recopilación de datos personales debe ser limitada y realizarse con el conocimiento o el consentimiento de la persona. No deben recopilarse datos sobre personas excepto en las situaciones y con los métodos permitidos o autorizados por ley y (por lo general) deben darse a conocer a las personas afectadas en el momento en que se recopilen. El requisito de legalidad abarca el concepto de legitimidad y excluye la recopilación arbitraria y caprichosa de datos personales. Implica transparencia y una estructura jurídica a la cual pueda tener acceso la persona cuyos datos estén recopilándose. En la mayoría de los contextos se puede cumplir el requisito de legalidad si el recopilador o procesador de datos informa al titular de los datos sobre las bases jurídicas de la solicitud de los datos en el momento de su recopilación (por ejemplo, “se solicita su número de identificación personal de conformidad con la Ley de Registro Nacional de 2004” o “la Directiva 33-25 del Ministerio de Economía”). En otros casos podría necesitarse una explicación diferente, como “se requiere esta información para garantizar que el reembolso se envíe a la dirección correcta del reclamante”. En tales casos, se deben indicar claramente los fines para los cuales se recopilan los datos, a fin de que la persona pueda entender cómo se recopilarán, usarán o divulgarán los datos. Medios justos y legales El principio uno también requiere que los medios que se empleen para recopilar datos personales sean “justos y legales”. Los datos personales se recopilan por medios justos y legales cuando la recopilación es compatible tanto con los requisitos jurídicos pertinentes como con las expectativas razonables delas personas basadas en su relación con el controlador de datos o con otra entidad que recopile los datos y en el aviso o los avisos dados a las personas en el momento en que se recopilen sus datos. Este principio excluye la obtención de datos personales por medio de fraude, engaño o con pretextos falsos. Se infringiría, por ejemplo, si una organización se hiciera pasar por otra en llamadas de tele marketing, avisos publicitarios impresos o mensajes por correo electrónico a fin de engañar a los consumidores e inducirles a dar el número de su tarjeta de crédito, información sobre cuentas bancarias u otros tipos de información personal delicada. La “justicia” es contextual y depende de las circunstancias. Requiere, entre otras cosas, que se ofrezcan opciones apropiadas a las personas con respecto a la forma y el momento en que vayan a proporcionar datos personales a controladores de datos en los casos en que no sea razonable prever que puedan recopilarse en vista de la relación de las personas con el recopilador o procesador de datos y del aviso o los avisos que hayan recibido en el momento en que se recopilaron sus datos. Las opciones que se ofrezcan a las personas no deberían interferir en las actividades y en la obligación de los controladores de datos de promover la seguridad externa e interna y el cumplimiento de la normativa ni impedir que empleen prácticas comúnmente aceptadas para la recopilación y utilización de datos personales. Al aplicar estos principios, los Estados Miembros podrían establecer un requisito de “justicia” separado del tema del engaño. PRINCIPIO DOS: CLARIDAD Y CONSENTIMIENTO Se deben especificar los fines para los cuales se recopilan los datos personales en el momento en que se recopilen. Como regla general, los datos personales solamente deben ser recopilados con el consentimiento de la persona a que se refieran. Este principio también se centra en la recopilación de datos personales. Se basa en el concepto de la “autodeterminación en lo que respecta a la información” y, en particular, en dos -8- conceptos que gozan de amplio reconocimiento a nivel internacional: el principio de “transparencia” y el principio de “consentimiento”. Combinados, estos principios requieren que 1) se especifiquen los fines para los cuales se recopilen datos personales, generalmente a más tardar en el momento en el cual se inicie la recopilación; y 2) se recopilen datos personales solo con el consentimiento (explícito o implícito) de la persona a la que se refieran. Transparencia Por lo general, los fines para los cuales se recopilan datos personales deben especificarse claramente en el momento en el cual se recopilen. Además, se debe informar a las personas sobre las prácticas y políticas de las entidades o personas que recopilen los datos personales, a fin de que puedan tomar una decisión fundamentada con respecto al suministro de tales datos. Sin claridad, el consentimiento de la persona con respecto a la recopilación de los datos no puede ser válido. A fin de que las personas cuenten con fundamentos para decidir a quiénes proporcionarán sus datos personales y por qué razón, posiblemente se necesite más información que los meros fines de la recopilación y el manejo de esos datos. Podría ser importante que se les informe también sobre el fundamento jurídico de la recopilación de sus datos personales, la forma en que se almacenarán y procesarán, la identidad de los encargados de manejar esos datos e información para contactarlos, toda transferencia de datos que pueda efectuarse y los medios de que disponen para ejercer sus derechos con respecto a sus datos personales. Consentimiento Por lo general, la persona debe ser capaz de dar su consentimiento libremente respecto de la recopilación de datos personales de la forma y con los fines previstos. Por lo tanto, el consentimiento de la persona debe basarse en suficiente información y debe ser claro, es decir, no debe dar lugar a ninguna duda o ambigüedad con respecto a la intención de la persona. Para que el consentimiento sea válido, la persona debe contar con suficiente información sobre los detalles concretos de los datos que se recopilarán, la forma en que se recopilarán, los fines del procesamiento y toda divulgación que pueda efectuarse. La persona debe ser capaz de efectuar una elección real. La persona no debe correr ningún riesgo de engaño, intimidación, coacción o consecuencias negativas significativas si se niega a dar el consentimiento. (Desde luego, en algunas situaciones comerciales, proporcionar los datos solicitados podría ser una condición previa legítima para que la persona pueda usar el servicio o producto en cuestión.) El método para obtener el consentimiento debe ser apropiado para la edad y la capacidad de la persona afectada (si se conocen) y para las circunstancias particulares del caso. No se requiere una forma específica de consentimiento, pero en principio debería reflejar la preferencia y la decisión fundamentada de la persona afectada. Evidentemente, el consentimiento obtenido bajo coacción o sobre la base de declaraciones falsas o incluso información incompleta o engañosa no puede cumplir las condiciones para la recopilación o el procesamiento legítimos. Contexto El requisito del consentimiento debe interpretarse de manera razonable en el entorno tecnológico en rápida evolución en el cual se recopilan y usan datos personales en la actualidad. La índole del consentimiento podría variar según las circunstancias del caso. En los principios se reconoce que, en algunas circunstancias, el “conocimiento” podría ser la norma apropiada en los casos en que el procesamiento y la divulgación de datos satisfagan intereses legítimos. El consentimiento implícito podría ser apropiado cuando los datos personales en cuestión son menos sensibles y cuando se proporciona información razonable sobre el propósito y el método de recopilación de manera tal que se cumplan los requisitos de transparencia. Por ejemplo, el consentimiento de una persona con respecto a la recopilación de algunos datos personales podría inferirse de manera razonable de interacciones anteriores con controladores de datos (y los avisos dados por ellos) y en los casos en que la recopilación sea acorde con el contexto de la transacción para la cual se recopilaron los datos originalmente. También podría -9- inferirse de prácticas comúnmente aceptadas con respecto a la recopilación y el uso de datos personales o las obligaciones legales de los controladores de datos. En unos pocos casos podría autorizarse la recopilación de algunos datos personales sin consentimiento. En esos casos, la parte que procure recopilar y procesarlos datos debe demostrar que tiene una necesidad clara de hacerlo para los fines de sus intereses legítimos o los de un tercero a quien puedan divulgarse los datos. También se debe demostrar que hay un equilibrio entre los intereses legítimos de la parte que busque la divulgación y los intereses del titular de los datos. La condición de los “intereses legítimos” no se cumplirá si el procesamiento tendrá efectos perjudiciales en los derechos y libertades o en intereses legítimos del titular de los datos. En los casos en que haya una gran discrepancia entre intereses en pugna, los intereses legítimos del titular de los datos tienen prelación. La recopilación y el procesamiento de datos de acuerdo con la condición de los intereses legítimos deben ser justos y legales y ceñirse a todos los principios de la protección de datos. Los datos personales sensibles pueden procesarse sin el consentimiento explícito de su titular solo en los casos en que ello sea claramente de gran interés público (según lo que esté autorizado por ley) o responda a intereses vitales del titular de los datos (por ejemplo, en una situación de emergencia en la cual corra peligro su vida). Momento Por lo general, se debe informar a la persona sobre los fines en el momento en el cual se recopilen los datos y se debe obtener su consentimiento en ese momento. En la mayoría de los casos, el consentimiento durará todo el tiempo que lleve el procesamiento al cual se refiera. En algunos casos, la recopilación subsiguiente de más datos podría basarse de manera razonable en el consentimiento anterior dado por la persona en relación con la recopilación inicial. Una persona tiene derecho a retirar el consentimiento según la índole del consentimiento dado y los fines para los cuales se recopile la información. En general, el retiro del consentimiento no afecta la validez de lo que ya se haya hecho sobre la base del consentimiento. PRINCIPIO TRES: PERTINENCIA Y NECESIDAD Los datos deben ser verídicos, pertinentes y necesarios para los fines expresos de su recopilación. La exactitud, la pertinencia y la necesidad son principios cruciales de la protección de datos y la privacidad personal. Desde luego, sus requisitos deben evaluarse en relación con el contexto específico en el cual se recopilen, usen y divulguen los datos. Las consideraciones contextuales incluyen qué datos particulares se recopilan y con qué fines. Exactitud Los datos personales deben ser correctos, exactos y completos y estar actualizados según sea necesario con respecto a los fines para los cuales se hayan recopilado. Evidentemente, la calidad de los datos es importante para la protección de la privacidad. Los datos inexactos pueden perjudicar tanto al procesador de datos como al titular de los datos, pero en una medida que varía mucho según el contexto. Por lo tanto, el recopilador o procesador de datos debe adoptar mecanismos para cerciorarse de que los datos personales sean correctos, exactos y completos y estén actualizados. Podría o no ser necesario actualizar continuamente los datos y velar siempre para que estén completos a fin de que sean exactos en lo que se refiere al fin expreso para el cual se hayan recopilado. Para decidir si se necesita más información, se debe aplicar la norma de la “necesidad”, es decir que los datos en cuestión deben ser exactos y completos y estar actualizados al grado necesario para los propósitos para los que serán usados. En ciertas circunstancias (por ejemplo, para la investigación de fraudes o la protección contra fraudes) podría ser necesario que los procesadores de datos necesiten retener y procesar algunos datos inexactos o fraudulentos. - 10 - Pertinencia El requisito de que los datos sean “pertinentes” significa que deben guardar una relación razonable con los fines para los cuales hayan sido recopilados y se tenga la intención de usarlos. Por ejemplo, los datos relativos a opiniones podrían ser fácilmente engañosos si se usan para fines con los cuales no guarden ninguna relación. Necesidad y proporcionalidad Por lo general, los procesadores de datos deben usar datos personales solamente de una forma acorde con los fines expresos de la recopilación; por ejemplo, cuando sean necesarios para proporcionar el servicio o el producto solicitado por la persona. Asimismo, los recopiladores y procesadores de datos deben seguir un criterio de “limitación” o “minimización”, de acuerdo con el cual deben hacer un esfuerzo razonable para cerciorarse de que los datos personales que manejen correspondan al mínimo requerido para el fin expreso. En algunos sistemas jurídicos se usa el concepto de “proporcionalidad” para hacer referencia al equilibrio de valores en pugna. La proporcionalidad requiere que las instancias decisorias determinen si una medida ha ido más allá de lo que se requiere para alcanzar una meta legítima y si los beneficios alegados excederán los costos previstos. En el contexto del procesamiento de datos del sector público, la idea de necesidad a veces se mide sobre la base de la proporcionalidad; por ejemplo, al exigir un equilibrio entre 1) el interés del público en el procesamiento de los datos personales y 2) la protección de los intereses de las personas en materia de privacidad. De acuerdo con estos principios, los conceptos de “necesidad” y “proporcionalidad” imponen limitaciones generales al uso, lo cual significa que los datos personales solo deben usarse para cumplir los propósitos de la recopilación excepto con el consentimiento de la persona cuyos datos personales se recopilen o cuando sea necesario para proporcionar un producto o servicio solicitado por la persona. No obstante, en los principios se reconoce que el campo de la gestión y el procesamiento de datos están evolucionando continuamente desde el punto de vista tecnológico. En consecuencia, debe entenderse que este principio abarca una medida razonable de flexibilidad y adaptabilidad. PRINCIPIO CUATRO: USO LIMITADO Y RETENCIÓN Los datos personales deben ser mantenidos y utilizados solamente de manera legítima no incompatible con el fin o fines para los cuales se recopilaron. No deberán mantenerse más del tiempo necesario para su propósito o propósitos y de conformidad con la legislación nacional correspondiente. En este principio se enuncian dos premisas fundamentales con respecto a la retención de datos personales: 1) deben mantenerse y utilizarse de una manera legítima que no sea incompatible con el fin para el cual se hayan recopilado (lo cual se denomina a veces el “principio de finalidad” o “limitación del propósito”) y 2) no deben mantenerse más del tiempo necesario para su propósito y de conformidad con la legislación nacional correspondiente. Uso limitado Con respecto a la primera premisa, los datos personales deben manejarse con propósitos específicos y legítimos. La retención y el uso de datos personales deben ser compatibles con las expectativas razonables de las personas, su relación con el controlador que recopile los datos, el aviso o los avisos proporcionados por el controlador de datos y las prácticas comúnmente aceptadas. No deben mantenerse ni utilizarse datos personales con fines que no sean compatibles con aquellos para los cuales se hayan recopilado, excepto con el conocimiento o consentimiento del titular de los datos o por mandato de la ley. El concepto de “incompatibilidad” da cierto grado de flexibilidad, ya que permite hacer referencia al objetivo o propósito general en relación con el cual - 11 - la persona haya dado inicialmente su consentimiento para que se recopilaran datos. En ese sentido, la medida apropiada suele consistir en respetar el contexto en el cual la persona haya proporcionado sus datos personales y las expectativas razonables de la persona en esa situación particular. Por ejemplo, cuando un consumidor da su nombre y su dirección a un vendedor en línea y dicho vendedor, a su vez da el nombre del consumidor y su domicilio particular al expedidor para que se puedan entregar al comprador los productos comprados, esa divulgación es evidentemente un uso “compatible” de datos personales. Sin embargo, si el vendedor da el nombre del consumidor y su domicilio particular a otro tipo de vendedor o comerciante con fines que no sean necesarios para completar la transacción en línea del consumidor y que no estén relacionados con dicha transacción, lo más probable es que sea un uso “incompatible” de los datos del consumidor y que no esté permitido salvo que el consumidor dé su consentimiento expreso. Otro caso en el cual este principio podría aplicarse de manera razonable y con un alto grado de flexibilidades el uso de los datos personales de una persona como parte de un procesamiento más amplio (o “agregado”) de datos de un gran número de personas por el controlador de datos; por ejemplo, para la elaboración de inventarios o con fines estadísticos o de contabilidad. Retención limitada Los datos personales pueden mantenerse solo el tiempo que sea necesario para el fin para el cual se hayan recopilado y de conformidad con lo dispuesto en las leyes nacionales pertinentes. La realidad de la tecnología moderna exige una limitación general para la retención de datos. Como el costo del almacenamiento de datos ha bajado considerablemente, suele ser menos costoso para los controladores de datos almacenar datos indefinidamente en vez de examinarlos y borrar los que no sean necesarios. No obstante, la retención innecesaria y excesiva de datos personales tiene evidentemente implicaciones para la privacidad. Como regla general, por lo tanto, los datos deben eliminarse cuando ya no se necesiten para su fin original o tal como se disponga en la legislación nacional. Sin embargo, eso no implica que los controladores de datos deban siempre borrar datos cuando ya no los necesiten. Las personas pueden optar por consentir, ya sea de forma expresa o por implicación, en que se usen y retengan sus datos personales con fines adicionales. La legislación interna pertinente impone requisitos legales explícitos para la retención de datos. Asimismo, un controlador de datos podría tener razones legales legítimas para retener datos durante un período determinado aunque eso no se requiera explícitamente. Por ejemplo, los empleadores podrían conservar expedientes de ex empleados o los médicos podrían conservar expedientes de ex pacientes a fin de protegerse de ciertos tipos de acción judicial, como juicios por mal ejercicio de la profesión, despido ilegal, etc. Podría ser necesario que los controladores de datos retengan datos personales durante períodos más largos a fin de cumplir otras obligaciones legales o proteger los derechos, la seguridad o los bienes de la persona, del procesador de datos o de un tercero. PRINCIPIO CINCO: DEBER DE CONFIDENCIALIDAD Los datos personales no deben divulgarse, ponerse a disposición de terceros ni emplearse para otros propósitos que no sean aquellos para los cuales se obtuvieron, excepto con el conocimiento o consentimiento de la persona en cuestión o bajo autoridad de la ley. Este principio deriva del deber básico del controlador de datos de mantener la “confidencialidad” de los datos personales en un entorno seguro y controlado. Este deber requiere que el controlador de datos se cerciore de que no se proporcionen tales datos (ni se pongan a disposición por otros medios) a personas o entidades excepto con el conocimiento o consentimiento de la persona afectada, en consonancia con las expectativas razonables de la persona afectada o por mandato de la ley. El controlador de datos debe cerciorarse también de que los datos personales no se usen con fines que sean incompatibles con el fin original - 12 - para el cual se recopilaron los datos. Estas responsabilidades emanan de la naturaleza misma de los datos personales y no dependen de afirmaciones de las personas afectadas. Este deber de respetarlos límites de la divulgación se suma a la obligación de los controladores de datos enunciada en el principio seis de promover la seguridad externa e interna y el cumplimiento de la normativa al salvaguardar los datos. Proteger la privacidad implica no solo mantener la seguridad de los datos personales, sino también permitir que las personas controlen la forma en que se usan y divulgan sus datos personales. Un elemento esencial de la “autodeterminación en lo que respecta a la información” es el establecimiento y mantenimiento de la confianza entre el titular de los datos y el controlador de datos, especialmente con respecto a la divulgación de datos personales a terceros. En algunos casos sería razonable inferir el consentimiento de la persona del contexto particular de su relación e interacciones con el controlador de datos o sus servicios, el aviso o los avisos dados por el controlador de datos y las prácticas aceptadas comúnmente para la recopilación y el uso de datos personales. Por ejemplo, en algunos casos sería enteramente razonable que un controlador de datos proporcionara datos a un tercero “proveedor de servicios” (por ejemplo, un procesador de datos) en el marco de un arreglo contractual especificado. La divulgación a agentes de las fuerzas del orden y a otros organismos gubernamentales de conformidad con la legislación no contravendría este principio, pero debería autorizarse por medio de disposiciones claras y específicas. La protección de los datos personales en poder de las autoridades públicas puede estar sujeta a normas diferentes en función de la naturaleza de la información y las razones de la divulgación. Estas razones y normas también deben ser tratadas por disposiciones claras y específicas. En este contexto, se llama la atención a la Ley Modelo Interamericana sobre Acceso a la Información Pública, aprobada en 2010. PRINCIPIO SEIS: PROTECCIÓN Y SEGURIDAD Los datos personales deben ser protegidos mediante salvaguardias razonables y adecuadas contra accesos no autorizados, pérdida, destrucción, uso, modificación o divulgación. De acuerdo con este principio, los controladores de datos tienen el deber claro de tomar las medidas prácticas y técnicas que sean necesarias para proteger los datos personales que obren en su poder o bajo su custodia (o de los cuales sean responsables) y cerciorarse de que tales datos personales no sean objeto de acceso, pérdida, destrucción, uso, modificación o divulgación excepto con el conocimiento o consentimiento de la persona o de otra autoridad legítima. La obligación específica consiste en proporcionar “salvaguardias razonables y adecuadas”. Se basa en la consecución y el mantenimiento de un nivel apropiado de atención en el contexto de la situación general. Por lo tanto, hay que tener en cuenta consideraciones de proporcionalidad y necesidad. En el contexto moderno, es técnicamente imposible garantizar la privacidad absoluta y la protección completa de los datos personales, y el esfuerzo necesario para lograrlo impondría barreras indeseables y costos inaceptables. Asimismo, es posible que en distintos contextos se requieran soluciones y niveles de salvaguardias diferentes. Por consiguiente, este principio requiere un juicio razonado y fundamentado y no se viola necesariamente cada vez que un controlador de datos experimente un acceso no autorizado, pérdida, destrucción, uso, modificación o divulgación. Los datos personales deben protegerse, independientemente de la forma en que se mantengan, por medio de salvaguardias razonablemente concebidas para prevenir que las personas sufran daños considerables como consecuencia del acceso no autorizado a los datos o de su pérdida o destrucción. La índole de las salvaguardias podría variar según la sensibilidad de los datos en cuestión. Evidentemente, para los datos más sensibles se requiere un nivel más alto de protección. Algunas de las razones para conferir mayor protección podrían ser, por ejemplo, los riesgos de - 13 - usurpación de la identidad, pérdidas económicas, efectos negativos en la calificación crediticia, daños a bienes y pérdida del empleo o de oportunidades comerciales o profesionales. La norma no es estática. Las amenazas a la privacidad, especialmente las amenazas cibernéticas, están evolucionando constantemente y la determinación de lo que constituye salvaguardias “razonables y adecuadas” debe responder a esa evolución. El reto consiste en proporcionar orientación válida a los controladores de datos, procurando al mismo tiempo que las normas sigan siendo “tecnológicamente neutrales” y no se vuelvan obsoletas como consecuencia de los rápidos cambios tecnológicos. En vista de la celeridad de los cambios en el entorno actual de la información, una práctica que hace solo unos meses era permisible podría considerarse en la actualidad como una práctica intrusiva, riesgosa o peligrosa para la privacidad individual. Análogamente, una restricción que haya parecido razonable hace algunos meses podría ser obsoleta o injusta a la luz de los adelantos tecnológicos. Por lo tanto, la determinación relativa a la existencia de “salvaguardias razonables y adecuadas” debe basarse en los métodos y técnicas más avanzados que estén en uso en el ámbito de la seguridad de los datos en vista de la evolución de las amenazas a la privacidad personal. Asimismo, debe reverse y evaluarse periódicamente. La protección de la privacidad de las personas implica mantener la seguridad de sus datos personales y permitir que las personas controlen su experiencia “en línea”. Además de tomar medidas de seguridad eficaces, los controladores de datos (tales como los proveedores de servicios en línea) deberían tener flexibilidad para proporcionar a sus usuarios medios efectivos para controlar el intercambio de datos personales como parte de las medidas generales de protección de la privacidad. Violaciones de los datos La incidencia creciente de intrusiones externas (“violaciones de los datos personales”), que consisten en el acceso no autorizado a datos protegidos, suscita preocupaciones relacionadas con la privacidad y con el ámbito penal. En muchos países, entre los cuales se cuentan Estados Miembros de la OEA, la notificación es obligatoria por ley en esos casos. Por consiguiente, en caso de violación de los datos, los controladores de datos podrían tener la obligación legal de notificar a las personas cuyos datos hayan sido (o puedan haber sido) comprometidos. Tales notificaciones permiten a las personas afectadas tomar medidas de protección y posiblemente tener acceso a los datos y pedir que se corrijan datos inexactos o el uso indebido de los datos como consecuencia de su violación. Las notificaciones también podrían ofrecer incentivos a los controladores de datos para asumir la responsabilidad, examinar las políticas en materia de retención de datos y mejorar sus medidas de seguridad. Al mismo tiempo, las leyes sobre notificación de violaciones de datos podrían imponer a los controladores de datos la obligación de cooperar con las fuerzas del orden en el ámbito penal y con otras autoridades (por ejemplo, equipos de respuesta a incidentes de informática u otras entidades responsables de la supervisión de la ciber seguridad). En la legislación nacional se deberían indicar las (pocas) situaciones concretas en que las fuerzas del orden puedan requerir la divulgación de datos personales sin el consentimiento de las personas afectadas. Hay que tener cuidado de no imponer requisitos contradictorios a los controladores de datos con respecto a la notificación y la confidencialidad. En los casos en que se imponen sanciones a los controladores de datos por incumplimiento del deber de salvaguardar y proteger, tales sanciones deberían ser proporcionales al grado de perjuicio o de riesgo. En este contexto podría ser útil que las jurisdicciones nacionales adoptaran definiciones específicas de lo que constituye una “violación” (o “acceso no autorizado”), los tipos de datos que podrían requerir un grado mayor de protección en esos casos y las responsabilidades específicas que podría tener un controlador de datos en caso de una divulgación de ese tipo. PRINCIPIO SIETE: FIDELIDAD DE LOS DATOS - 14 - Los datos personales deben mantenerse fieles y actualizados hasta donde sea necesario para los propósitos de su uso. La exactitud y la precisión revisten una importancia vital para la protección de la privacidad. Cuando se recopilan datos personales y se los retiene para seguir usándolos (en vez de usarlos una sola vez o durante períodos cortos), el controlador de datos tiene la obligación de tomar medidas para que los datos se mantengan actualizados y sean exactos en la medida de lo necesario para los fines para los cuales se hayan recopilado y se usen. Esta obligación deriva del “uso” para el cual se hayan recopilado los datos y del uso que se haya dado o se tenga la intención de dar a los datos y en relación con el cual la persona haya dado su consentimiento. No es un requisito abstracto de exactitud objetiva. Por lo tanto, el controlador o los controladores de datos deben adoptar mecanismos apropiados, que sean razonables a la luz del fin para el cual se hayan recopilado los datos y con el cual se usen, a fin de que los datos sigan siendo exactos, completos, correctos y actualizados y que no se menoscaben los derechos de la persona en cuestión. Los controladores de datos deben tomar medidas efectivas para salvaguardar la privacidad de las personas y de otros que proporcionen sus propios datos. A fin de cumplir sus obligaciones con respecto a la exactitud, deben dar a las personas una oportunidad razonable para examinar o corregir la información personal que hayan suministrado al controlador de datos o para solicitar que se la borre. Se podría establecer un plazo razonable para la vigencia de este requisito. Al tomar medidas para determinar la exactitud de los datos personales de una persona (“calidad de los datos”), el controlador de datos podría considerar la sensibilidad de los datos personales que recopile o mantenga y la probabilidad de que expongan a las personas a daños considerables, de conformidad con los requisitos del principio nueve. En muchos casos, para aplicar este principio será necesario borrar datos personales que ya no se necesiten para los fines que justificaron inicialmente su recopilación. PRINCIPIO OCHO: ACCESO Y CORRECCIÓN Se debe disponer de métodos razonables para permitir que aquellas personas cuyos datos personales han sido recopilados puedan solicitar el acceso a dichos datos y puedan solicitar al controlador de datos que los modifique, corrija o elimine. En caso de que fuera necesario restringir dicho acceso o corrección, deberían especificarse las razones concretas de cualquiera de estas restricciones de acuerdo con la legislación nacional. Las personas deben tener derecho a saber si los controladores de datos tienen datos personales relacionados con ellas. Deben tener acceso a esos datos a fin de que puedan impugnar su exactitud y pedir al controlador de datos que modifique, revise, corrija o elimine los datos en cuestión. Este derecho de acceso y corrección es una de las salvaguardias más importantes en el campo de la protección de la privacidad. Los elementos esenciales son la capacidad de la persona para obtener datos relacionados con ella en un plazo razonable, pagando un cargo razonable y de una forma razonable e inteligible; para saber si se ha denegado una solicitud de acceso a dichos datos y por qué; y para impugnar tal denegación. En el ordenamiento jurídico interno de algunos países de las Américas (pero no en todos) se reconoce el derecho de hábeas data, en virtud del cual las personas pueden entablar juicio para prevenir un presunto abuso de sus datos personales o ponerle fin. Ese derecho podría dar a la persona acceso a bases de datos públicas o privadas, así como el derecho a corregir los datos en cuestión, a mantener el carácter confidencial de los datos personales sensibles y a rectificar o borrar datos perjudiciales. Como el contorno específico de este derecho varía de un Estado Miembro a otro, en estos principios se abordan las cuestiones que plantea desde el punto de vista de cada uno de sus elementos. El derecho de acceso - 15 - El derecho de acceso a los datos personales mantenidos por un controlador de datos debe ser sencillo de ejercer. Por ejemplo, los mecanismos de acceso deben formar parte de las actividades regulares del controlador de datos y no se debería requerir ninguna medida especial o procedimiento judicial (como la presentación formal de un reclamo por la vía judicial). Cada persona debe tener la posibilidad de tener acceso a sus propios datos. En algunos casos, hasta terceros podrían tener derecho también (por ejemplo, los representantes de personas con discapacidad mental o los padres de menores). La capacidad de una persona para tener acceso a sus datos se conoce también como derecho de “participación individual”. De acuerdo con este concepto, se debe otorgar acceso dentro de un plazo razonable, a un precio razonable, de una manera razonable y en una forma razonablemente inteligible. La carga y el costo de la presentación de los datos no deben ser irrazonables o desproporcionados. Todo dato que vaya a proporcionarse a su titular debe presentarse de una forma inteligible, usando un lenguaje claro y sencillo. Excepciones y limitaciones Sin embargo, el derecho de acceso no es absoluto. En todo sistema nacional hay situaciones excepcionales en las cuales se podría requerir que se mantenga el carácter confidencial de ciertos datos. Estas circunstancias deben enunciarse claramente en las leyes apropiadas o en otras directrices y deben ponerse a disposición del público. Por ejemplo, podrían surgir situaciones de ese tipo si se sospecha que la persona a la cual se refieren los datos ha cometido un acto ilícito y es el sujeto de una investigación que estén realizando las fuerzas del orden o una entidad similar, si los registros de esa persona están mezclados con los de un tercero que también tiene intereses en materia de privacidad o si otorgar acceso al titular de los datos podría comprometer secretos comerciales, pruebas confidenciales o material para exámenes. Las reglas relativas a situaciones de esos tipos deben ser lo más estrechas y restrictivas posible. Además, por razones prácticas, un controlador de datos podría imponer condiciones razonables; por ejemplo, especificando el método para efectuar solicitudes y exigiendo que las personas que efectúen solicitudes de ese tipo autentiquen su identidad por medios razonables. No es necesario que los controladores de datos accedan a solicitudes que impongan cargas o gastos desproporcionados, que violen los derechos a la privacidad de otras personas, que infrinjan datos reservados o secretos comerciales, que contravengan las obligaciones legales de los controladores de datos o que impidan de cualquier otra forma que la compañía proteja los derechos, la seguridad o los bienes de la compañía, de otro usuario, de una filial o de un tercero. El derecho a impugnar la denegación de acceso Si a una persona se le deniega la solicitud de acceso, debe haber un método efectivo para que la persona (o su representante) pueda averiguar las razones de la denegación e impugnarla. Es necesario permitir que la persona se entere de las razones de una decisión adversa a fin de que pueda ejercer el derecho a impugnar la decisión y prevenir la denegación arbitraria. Como ya se dijo, en algunos casos bien podría ser apropiado, o incluso necesario, retener ciertos datos. Sin embargo, esos casos deben ser la excepción y no la regla, y las razones de la denegación deben comunicarse claramente a la persona que efectúe la solicitud, a fin de prevenir la denegación arbitraria del derecho fundamental a corregir errores. El derecho a corregir errores y omisiones La persona debe tener la posibilidad de ejercer el derecho a solicitar la corrección (o la adición) de datos personales sobre sí misma que sean incompletos, inexactos, innecesarios o excesivos. Eso se conoce también como derecho de “rectificación.” Si los datos en cuestión son incompletos o inexactos, se debe permitir que la persona proporcione más información a fin de corregir los errores u omisiones. Si los datos en cuestión son evidentemente inexactos, el controlador de datos por lo general debe corregir la inexactitud cuando - 16 - el titular de los datos lo solicite. Incluso en los casos en que se determine que los datos son inexactos, como en el curso de una investigación del titular de los datos, a veces podría ser más apropiado que el controlador de datos agregue material al registro en vez de borrarlo, a fin de que refleje con exactitud la historia completa de la investigación. No se debe permitir que el titular de los datos introduzca datos inexactos o erróneos en los registros del controlador de datos. El titular de los datos tampoco tiene necesariamente derecho a compeler al controlador de datos a que borre datos que sean exactos pero embarazosos. El derecho de corrección o rectificación no es absoluto. Por ejemplo, es posible que no se autorice la modificación de datos personales, aunque se trate de información errónea o engañosa, en los casos en que los datos se requieran legalmente o deban ser retenidos para el cumplimiento de una obligación impuesta a la persona responsable por la ley nacional pertinente o posiblemente por las relaciones contractuales entre la persona responsable y el titular de los datos. Por consiguiente, en la legislación nacional se deben indicar claramente las condiciones en las cuales se debe proporcionar acceso y permitir la corrección de los datos, así como las restricciones que se apliquen. Se deben especificar las situaciones limitadas en las cuales no se pueda tener acceso a datos personales y no exista la posibilidad de corregirlos. Se deben especificar claramente los motivos de tales restricciones. En algunos marcos reglamentarios nacionales y regionales se da a las personas el derecho a solicitar que los controladores de datos supriman (o borren) datos personales específicos que, aunque estén a disposición del público, las personas afirmen que ya no son necesarios o pertinentes. Este derecho se describe a veces como el derecho a omitir o suprimir información específica, es decir, como derecho a la “desidentificación” o a la “anonimización”. Este derecho no es absoluto sino contingente y contextual, y requiere un equilibrio difícil de intereses y principios. El ejercicio del derecho plantea necesariamente cuestiones fundamentales en lo que se refiere no solo a la privacidad, el honor y la dignidad, sino también al derecho de acceso a la verdad, la libertad de información y de expresión, y la proporcionalidad. También plantea cuestiones difíciles con respecto a quién toma tales decisiones y por medio de qué proceso y si la obligación se aplica solamente al recopilador original (o primario) de los datos en cuestión (controlador de datos) o también a intermediarios subsiguientes. Estos principios abarcan los derechos de acceso, impugnación y corrección. Como por el momento el “derecho a borrar o suprimir” sigue siendo controvertido y es el tema de definiciones y puntos de vista divergentes, en los principios no se respalda explícitamente el derecho a suprimir datos personales que (aunque sean ciertos o exactos en cuanto a los hechos) la persona afectada considere personalmente embarazosos, excesivos o simplemente irrelevantes. PRINCIPIO NUEVE: DATOS PERSONALES SENSIBLES Algunos tipos de datos personales, teniendo en cuenta su sensibilidad en contextos particulares, son especialmente susceptibles de causar daños considerables a las personas si se hace mal uso de ellos. Los controladores de datos deberían adoptar medidas de privacidad y de seguridad que sean acordes con la sensibilidad de los datos y su capacidad de hacer daño a los individuos sujetos de la información. La frase “datos personales sensibles” abarca los datos que afectan a los aspectos más íntimos de las personas. Según el contexto cultural, social o político, podría incluir los datos relacionados con su salud personal, preferencias sexuales, creencias religiosas u origen racial o étnico. En ciertas circunstancias, podría considerarse que estos datos merecen protección especial porque, si se manejan o se divulgan de manera indebida, darían lugar a una intrusión profunda en la dignidad personal y el honor dela persona afectada y podrían desencadenar una discriminación ilícita o arbitraria contra la persona o causar un riesgo de graves perjuicios para la persona. La índole de la sensibilidad podría variar de una situación a otra. En algunos entornos y culturas, por ejemplo, es enteramente previsible que la divulgación de ciertos tipos de datos personales conduzca a perjuicios para la reputación personal, a discriminación con respecto al - 17 - empleo o la libertad de circulación, a la persecución política o incluso a la violencia física, mientras que la divulgación de los mismos datos en otras circunstancias no ocasionaría ninguna dificultad 3 . En los Estados Miembros de la OEA hay una gran variedad de entornos culturales y jurídicos, razón por la cual es difícil decir de manera general qué tipos específicos de datos es categóricamente más probable que conduzcan a atentados particularmente graves contra los derechos e intereses de las personas. Por consiguiente, deben establecerse garantías apropiadas en el contexto de la legislación y la normativa nacionales, que reflejen las circunstancias imperantes en la jurisdicción pertinente, a fin de proteger en medida suficiente los intereses de las personas en materia de privacidad. Los Estados Miembros deben indicar claramente las categorías de datos personales que se consideren especialmente “sensibles” y que, por consiguiente, requieran una mayor protección. El consentimiento explícito de la persona a la cual se refieran los datos debe ser la regla que rija la recopilación, la divulgación y el uso de datos personales sensibles. Al determinar las obligaciones reglamentarias pertinentes, hay que tener en cuenta el contexto en el cual una persona proporciona esos datos. Debe recaer en los controladores de datos la carga de determinar los riesgos importantes para los titulares de los datos como parte del proceso general de gestión de riesgos y evaluación del impacto en la privacidad. Si se responsabiliza a los controladores de datos, se podrá proteger mejor a los titulares de los datos contra daños considerables en una amplia gama de contextos culturales. PRINCIPIO DIEZ: RESPONSABILIDAD Los controladores de datos adoptarán e implementarán las medidas correspondientes para el cumplimiento de estos principios. La protección efectiva de los derechos individuales de protección de la privacidad y de los datos se basa tanto en la conducta responsable de los controladores de datos como en las personas y en las autoridades gubernamentales del caso. Los sistemas de protección de la privacidad deben reflejar un equilibrio apropiado entre la reglamentación gubernamental y la implementación efectiva por aquellos que tienen responsabilidad directa por la recopilación, el uso, la retención y la difusión de datos personales. Estos principios dependen de la capacidad de quienes recopilan, procesan y retienen datos personales para tomar decisiones responsables, éticas y disciplinadas acerca de los datos y su uso durante todo el “ciclo de vida” de los datos. Estos “gerentes de datos” deben actuar en calidad de “buen custodio” de los datos que les proporcionen o confíen. Responsabilidad El principio de responsabilidad requiere el establecimiento de metas apropiadas en lo que se refiere a la protección de la privacidad, a las cuales los controladores de datos (organizaciones y otras entidades) deben adherirse, permitiéndoles determinar las medidas más apropiadas para alcanzar esas metas y vigilar su cumplimiento. De esa forma, los controladores de datos pueden alcanzar las metas en materia de protección de la privacidad de la forma que mejor se adapte a sus modelos empresariales, la tecnología y los requisitos de sus clientes. En los programas y procedimientos se deben tener en cuenta la índole de los datos personales en cuestión, el tamaño y la complejidad dela organización que recopila, almacena y procesa los 3. En algunos instrumentos contemporáneos relativos a la privacidad, ciertos tipos de datos se clasifican como sensibles per se. Esta caracterización podría estar vinculada a ciertos acontecimientos históricos que han dado lugar a sensibilidades particulares o al hecho de que la revelación de datos en ciertos contextos da lugar a problemas particulares. Véase, por ejemplo, el Convenio 108 del Consejo de Europa, que dispone lo siguiente en el artículo 6: “Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. La misma norma regirá en el caso de datos de carácter personal referentes a condenas penales”. - 18 - datos, y el riesgo de violaciones. La protección de la privacidad depende de una evaluación creíble de los riesgos que el uso de datos personales podría plantear para las personas y la mitigación responsable de esos riesgos. Por lo tanto, las leyes y normas nacionales en materia de privacidad deben proporcionar una orientación claramente expresada y bien definida a los controladores de datos. Deben impulsar la elaboración de códigos de conducta autónomos que se mantengan a la par de los adelantos tecnológicos y que tengan en cuenta los principios y normas de privacidad vigentes en otras jurisdicciones. Los controladores de datos deben cerciorarse de que los empleados que manejen datos personales estén debidamente capacitados en lo que se refiere a la finalidad de la protección de los datos y los procedimientos que se emplean para protegerlos. Deben adoptar programas efectivos de gestión de la privacidad y realizar revisiones internas con el propósito de promover la privacidad de las personas. En muchos casos, la designación de un “responsable principal de la información y la privacidad” facilitará la consecución de esta meta. En primer lugar, en las leyes nacionales sobre privacidad se debe exigir que los controladores de datos rindan cuenta del cumplimiento de estos principios. Además del mecanismo con que cuenten las autoridades gubernamentales para hacer cumplir la normativa, el derecho interno debe proveer a las personas de mecanismos apropiados para responsabilizar a los controladores de datos de las violaciones que se produzcan (por ejemplo, mediante la indemnización por daños y perjuicios). Incorporación de la privacidad en el diseño de sistemas Un enfoque contemporáneo eficaz consiste en requerir que los controladores de datos incorporen la protección de la privacidad en el diseño y la arquitectura de sus sistemas de tecnología de la información y en sus prácticas comerciales. Deben incorporarse consideraciones de privacidad y seguridad en cada etapa del diseño de los productos. Los controladores de datos deben estar preparados para demostrar sus programas de gestión de la privacidad cuando se lo solicite, en particular a petición de una autoridad competente a cargo de la aplicación de la normativa en materia de privacidad o de otra entidad que se encargue de promover la adhesión a un código de conducta. Las autoridades nacionales encargadas de la aplicación de la normativa pueden utilizar mecanismos internos de responsabilización solo si los controladores de datos tienen la disposición y la capacidad para demostrarles en qué consisten esos mecanismos y cuán bien funcionan. Intercambio de datos con terceros El intercambio y la retransmisión de datos, que están difundiéndose entre los controladores de datos, plantean algunas cuestiones difíciles. Como mínimo, no obstante, el consentimiento de una persona respecto de la recopilación inicial de datos personales no autoriza automáticamente el intercambio (o la retransmisión) de esos datos con otros controladores o procesadores de datos. Se debe informar a las personas sobre esos intercambios adicionales y ofrecerles oportunidades apropiadas para que den su consentimiento. Estos principios requieren que los controladores de datos asuman la responsabilidad de asegurar que sus requisitos sean observados por terceros a quienes se comuniquen los datos personales. Esta obligación de asegurar que haya salvaguardias adecuadas de seguridad se aplica independientemente de que otra persona esté a cargo o de que un controlador de datos diferente maneje datos personales en representación de la autoridad responsable (es decir, la que está obligada a rendir cuentas). También se aplica en el caso de transferencias internacionales o transfronterizas de datos personales (véase el principio once). PRINCIPIO ONCE: FLUJO TRANSFRONTERIZO DE DATOS Y RESPONSABILIDAD - 19 - Los Estados Miembros cooperarán entre sí en la creación de mecanismos y procedimientos que aseguren que los controladores de datos que operen en más de una jurisdicción puedan ser efectivamente hechos responsables por el cumplimiento de estos principios. En el mundo moderno de rápidos flujos de datos y comercio transfronterizo, es cada vez más probable que las transferencias de datos personales crucen fronteras nacionales. Sin embargo, la reglamentación que existe actualmente en diversas jurisdicciones nacionales varía en cuanto al fondo y al procedimiento. En consecuencia, existe la posibilidad de confusión, conflictos y contradicciones. Un reto fundamental para una política y una práctica eficaces en materia de protección de datos consiste en conciliar 1) las diferencias en los enfoques nacionales de la protección de la privacidad con la realidad moderna del flujo mundial de datos; 2) los derechos de las personas a tener acceso a datos en un contexto transnacional; y 3) el hecho fundamental de que los datos y el procesamiento de datos impulsan el desarrollo y la innovación. Todos los instrumentos internacionales para la protección de datos procuran alcanzar un equilibrio apropiado entre esas metas. En estos principios se expresa una norma común para evaluar los mecanismos de protección de la privacidad en los Estados Miembros de la OEA. La meta fundamental es armonizar los enfoques reguladores que proporcionan una protección más efectiva de la privacidad, al mismo tiempo que se promueven los flujos de datos seguros para el crecimiento económico y el desarrollo. De hecho, no todos los Estados Miembros de la OEA ofrecen en la actualidad exactamente los mismos tipos de protección. En consecuencia, requerir que haya normas idénticas de protección de la privacidad como condición previa para las transferencias transfronterizas de datos entre Estados Miembros podría restringir indebidamente los flujos transfronterizos, en detrimento de los derechos individuales, del crecimiento económico y del desarrollo. Al igual que en otras normas internacionales en este campo, en estos principios se adopta una norma de razonabilidad con respecto a las transferencias transfronterizas. Por una parte, deben permitirse las transferencias internacionales de datos personales entre Estados Miembros que confieran los grados de protección reflejados en estos principios o que protejan los datos personales en medida suficiente por otros medios, entre ellos mecanismos efectivos de aplicación de la normativa. Al mismo tiempo, deben permitirse las transferencias también en los casos en que los controladores de datos mismos tomen medidas apropiadas para asegurar que los datos transferidos estén protegidos de manera efectiva en consonancia en estos principios. Los Estados Miembros deben tomar las medidas necesarias para que los controladores de datos se responsabilicen de esa protección. Flujo transfronterizo de datos La transferencia de datos personales a través de fronteras nacionales es un hecho de la vida contemporánea. Nuestra comunidad mundial está más interconectada que nunca. En la mayoría de los países, cualquiera que tenga un teclado y conexión a internet puede conseguir fácilmente información de todas partes del mundo. En el derecho internacional se reconoce el derecho de las personas al libre flujo de información. Algo igualmente importante es que las economías nacionales dependen en medida creciente del intercambio y el comercio transfronterizos, y la transferencia de datos (incluidos datos personales) es un aspecto fundamental de ese intercambio y comercio. Con el surgimiento de nuevas tecnologías, el almacenamiento de datos está volviéndose geográficamente indeterminado. La computación y el almacenamiento “en nube” y la prevalencia creciente de servicios móviles implican necesariamente el intercambio y el almacenamiento remoto de datos a través de fronteras nacionales. Un enfoque progresista de la privacidad y la seguridad debe permitir que las empresas e industrias nacionales crezcan y compitan en el plano internacional. Las restricciones nacionales innecesarias o irrazonables a los flujos transfronterizos de datos podrían crear barreras para el comercio de servicios y dificultar el desarrollo de productos y servicios innovadores, eficientes y eficaces en función del costo. Pueden convertirse fácilmente - 20 - en obstáculos para las exportaciones y ocasionar perjuicios considerables tanto a los proveedores de servicios como a personas y a clientes empresariales. Restricciones nacionales basadas en distintos grados de protección En la OEA, todos los Estados Miembros comparten la meta general de proteger la privacidad y un compromiso con el libre flujo de información en el marco de ciertos criterios. Lo mismo ocurre con la mayoría de los países del resto del mundo. No obstante, en algunos países las autoridades han impuesto restricciones a la comunicación transfronteriza de datos por personas y entidades sujetas a su jurisdicción en los casos en que, en opinión de esas autoridades, las normas en materia de protección de datos de los otros países no se ciñen a los requisitos específicos de las leyes vigentes en su jurisdicción. Por ejemplo, se podría impedir que una entidad del país A comunique datos a una entidad el país B si, en opinión de las autoridades de A, las leyes de B sobre privacidad o protección de datos no se ciñen a las normas de A, incluso si ambas entidades forman parte de la misma organización comercial. En (unas pocas) circunstancias particulares, las leyes nacionales podrían restringir justificadamente el flujo transnacional de datos y requerir que los datos se almacenen y procesen localmente. Las razones para restringir o prevenir los flujos de datos deben ser siempre imperiosas. Algunas razones de tales restricciones podrían ser más imperiosas que otras. No obstante, por lo general los requisitos relativos a la “localización de datos” son en sí contraproducentes y deben evitarse, prefiriéndose en cambio las medidas de cooperación. Aunque esas restricciones estén motivadas por preocupaciones relativas a la protección de la privacidad, pueden constituir una aplicación extraterritorial de leyes internas y (si son excesivamente rigurosas) podrían imponer barreras innecesarias y contraproducentes al comercio y el desarrollo, perjudicando los intereses de las jurisdicciones del caso. Cooperación internacional Por estas razones, los principios y mecanismos de la cooperación internacional deben tratar de limitar y reducir las fricciones y los conflictos entre los distintos enfoques jurídicos internos que rigen el uso y la transferencia de datos personales. El respeto mutuo de los requisitos establecidos en la normativa de otros países (incluidas sus salvaguardias de la privacidad) fomentará el comercio transfronterizo de servicios. Ese respeto, a su vez, debe basarse en un concepto de transparencia entre los Estados Miembros con respecto a los requisitos y los procedimientos para la protección de datos personales. Los Estados Miembros deben procurar el reconocimiento mutuo de las reglas y prácticas en materia de responsabilización, a fin de evitar conflictos y resolverlos cuando surjan. Los Estados Miembros deben promover la transferencia transfronteriza de datos (con las debidas salvaguardias) y no deben imponer cargas que limiten el libre flujo de información o actividad económica entre jurisdicciones, como exigir que los proveedores de servicios operen en el país o instalen su infraestructura o sus datos dentro de las fronteras de un país. Las leyes nacionales no deben entorpecer el acceso de los controladores de datos o las personas a la información que esté almacenada fuera del país siempre que la información reciba un grado de protección que se ciña a las normas establecidas en estos principios de la OEA. Responsabilización de los controladores de datos Desde luego, se debe exigir que los controladores de datos cumplan las obligaciones legales de la jurisdicción donde tengan su domicilio social y donde operen. Al mismo tiempo, los controladores de datos que transfieran datos personales a través de fronteras deben asumir la responsabilidad de asegurar un grado continuo de protección que sea acorde con estos principios. Los controladores de datos deben tomar medidas razonables para que los datos personales estén protegidos eficazmente de acuerdo con estos principios, sea que los datos se transfieran a terceros dentro del país o a través de fronteras internacionales. Asimismo, deben proporcionar a las personas del caso un aviso apropiado de tales transferencias, especificando los fines para los cuales esos terceros usarán los datos. En general, estas obligaciones deben reconocerse en acuerdos - 21 - apropiados, en disposiciones contractuales o por medio de salvaguardias técnicas e institucionales de la seguridad, procesos para la tramitación de quejas, auditorías y medias similares. La idea es facilitar el flujo necesario de datos personales entre Estados Miembros y, al mismo tiempo, garantizar el derecho fundamental de las personas a la protección de sus datos personales. Estos principios podrían servir de marco acordado para la cooperación y un mayor aumento de la capacidad entre autoridades de la región de la OEA encargadas de aplicar la normativa en materia de privacidad, sobre la base de normas comunes para asegurar que se cumplan los requisitos básicos de la responsabilización transfronteriza. - 22 - PRINCIPIO DOCE: PUBLICIDAD DE LAS EXCEPCIONES Cuando las autoridades nacionales establezcan excepciones a estos principios por motivos relacionados con la soberanía nacional, la seguridad interna o externa, el combate a la criminalidad, el cumplimiento de normativas u otras prerrogativas de orden público, deberían poner en conocimiento del público dichas excepciones. Proteger los intereses en materia de privacidad de las personas (los ciudadanos y otros) es cada vez más importante en un mundo donde se recopilan ampliamente datos sobre personas, se los difunde con rapidez y se los almacena durante mucho tiempo. La finalidad de estos principios es conferir a las personas los derechos básicos que necesitan para salvaguardar sus intereses. Sin embargo, la privacidad no es el único interés que los Estados Miembros y sus gobiernos deben tener en cuenta en el campo de la recopilación, retención y difusión de datos. De vez en cuando surgirá inevitablemente la necesidad de tener en cuenta otras responsabilidades del Estado, lo cual llevará a la limitación de los derechos de privacidad de las personas. En algunos casos, es posible que las autoridades de los Estados Miembros de la OEA tengan que apartarse de estos estos principios o establecer excepciones por razones relacionadas con preocupaciones imperiosas de la seguridad nacional y la protección del público, la administración de justicia, el cumplimiento de la normativa u otras prerrogativas esenciales de la política pública. Por ejemplo, al responder a las amenazas planteadas por la delincuencia internacional, el terrorismo y la corrupción, así como a ciertas violaciones severas a los derechos humanos, las autoridades competentes de los Estados Miembros de la OEA ya han efectuado arreglos especiales para la cooperación internacional en la detección, investigación, sanción y prevención de delitos penales. Estas excepciones y desviaciones respecto de la norma deben ser la excepción y no la regla. Deben aplicarse solo después de considerar lo más cuidadosamente posible la importancia de proteger la privacidad individual, la dignidad y el honor. Debe haber límites sensatos en la capacidad de las autoridades nacionales para compeler a los controladores de datos a dar a conocer datos personales, manteniendo un equilibrio entre la necesidad de los datos en circunstancias limitadas y el debido derecho de los intereses de las personas en materia de privacidad. Por medio de leyes o normas públicas, los Estados Miembros deben indicar claramente esas excepciones y desviaciones respecto de la norma, los casos concretos en que pueda requerirse que los controladores de datos divulguen datos personales y las razones correspondientes. Deben permitir que los controladores de datos publiquen información estadística pertinente de manera agregada (por ejemplo, el número y la índole de las solicitudes de datos personales efectuadas por el gobierno) como parte del esfuerzo general para promover la protección efectiva de la privacidad. Asimismo, deben divulgar estos datos al público con prontitud. - 23 - ANEXO A Parte I. Derecho a la privacidad Como se indica en el texto, hay disposiciones relativas a la privacidad, la protección del honor personal y la dignidad, la libertad de expresión y de asociación, y el libre flujo de información en los principales sistemas de derechos humanos del mundo. Por ejemplo, el concepto de privacidad está claramente establecido en el artículo V de la Declaración Americana de los Derechos y Deberes del Hombre (1948) y en el artículo 11 de la Convención Americana sobre Derechos Humanos (“Pacto de San José”) (1969) 4 . El artículo V de la Declaración Americana de los Derechos y Deberes del Hombre dispone lo siguiente: Toda persona tiene derecho a la protección de la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar. Véanse también el artículo IX (“Toda persona tiene el derecho a la inviolabilidad de su domicilio”) y el artículo X (“Toda persona tiene derecho a la inviolabilidad y circulación de su correspondencia”). El artículo 11 de la Convención Americana sobre Derechos Humanos dispone lo siguiente: 1. 2. 3. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques 5 . Carta de la Unión Europea Solamente en la Carta de los Derechos Fundamentales de la Unión Europea (adoptada en 2000) se aborda la privacidad específicamente en el contexto de la protección de datos. El artículo 8 de la Carta dispone lo siguiente: 1. 2. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación. 4. 5. Véanse también la Declaración Universal de Derechos Humanos (art. 12, 18-20), el Pacto Internacional de Derechos Civiles y Políticos (art. 17-19), el Convenio para la protección de los derechos humanos y de las libertades fundamentales (art. 8-10), la Carta de los Derechos Fundamentales de la Unión Europea (art. 1, 7, 8, 10-12) y la Carta Africana sobre los Derechos Humanos y de los Pueblos (art. 5, 8-11 y 28). Además, el artículo 14 de la Convención Americana (“Derecho de Rectificación o Respuesta”) dispone lo siguiente: 1. Toda persona afectada por informaciones inexactas o agraviantes emitidas en su perjuicio a través de medios de difusión legalmente reglamentados y que se dirijan al público en general, tiene derecho a efectuar por el mismo órgano de difusión su rectificación o respuesta en las condiciones que establezca la ley. 2. En ningún caso la rectificación o la respuesta eximirán de las otras responsabilidades legales en que se hubiese incurrido. 3. Para la efectiva protección de la honra y la reputación, toda publicación o empresa periodística, cinematográfica, de radio o televisión tendrá una persona responsable que no esté protegida por inmunidades ni disponga de fuero especial. - 24 - 3. El respeto de estas normas quedará sujeto al control de una autoridad independiente. Por consiguiente, en la Carta de la Unión Europa al parecer se hace una distinción entre la protección de datos y el derecho al respeto de la vida privada y familiar (art. 7), la libertad de pensamiento, de conciencia y de religión (art. 10), y la libertad de expresión y de información (art. 11). Los expertos siguen debatiendo si existe un derecho independiente a la protección de la información personal o si debe considerarse en cambio como parte de un derecho más general a la privacidad 6/. Parte II. El derecho al libre flujo de información El artículo IV de la Declaración Americana de los Derechos y Deberes del Hombre dispone lo siguiente: Toda persona tiene derecho a la libertad de investigación, de opinión y de expresión y difusión del pensamiento por cualquier medio. El artículo 13 de la Convención Americana sobre Derechos Humanos dispone lo siguiente: 1. Toda persona tiene derecho a la libertad de pensamiento y de expresión. Este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección. 2. El ejercicio del derecho previsto en el inciso precedente no puede estar sujeto a previa censura sino a responsabilidades ulteriores, las que deben estar expresamente fijadas por la ley y ser necesarias para asegurar: a) b) el respeto a los derechos o a la reputación de los demás, o la protección de la seguridad nacional, el orden público o la salud o la moral públicas. 3. No se puede restringir el derecho de expresión por vías o medios indirectos, tales como el abuso de controles oficiales o particulares de papel para periódicos, de frecuencias radioeléctricas, o de enseres y aparatos usados en la difusión de información o por cualesquiera otros medios encaminados a impedir la comunicación y la circulación de ideas y opiniones. 4. Los espectáculos públicos pueden ser sometidos por la ley a censura previa con el exclusivo objeto de regular el acceso a ellos para la protección moral de la infancia y la adolescencia, sin perjuicio de lo establecido en el inciso 2. 5. Estará prohibida por la ley toda propaganda en favor de la guerra y toda apología del odio nacional, racial o religioso que constituyan incitaciones a la violencia o cualquier otra acción ilegal similar contra cualquier persona o grupo de personas, por ningún motivo, inclusive los de raza, color, religión, idioma u origen nacional. El artículo 19 de la Declaración Universal de Derechos Humanos (1948) dispone lo siguiente: Todo individuo tiene derecho a la libertad de opinión y de expresión; este derecho incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión. El artículo 10 del Convenio para la protección de los derechos humanos y de las libertades fundamentales (titulado “Libertad de expresión”) dispone lo siguiente: 1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no impide que los Estados sometan a las empresas 6. Véase, por ejemplo, Orla Lynskey, “Deconstructing Data Protection: The ‘Added-Value’ of a Right to Data Protection in the EU Legal Order”, 63 Int’l & Comp. Law Q. 569 (2014). - 25 - de radiodifusión, de cinematografía o de televisión a un régimen de autorización previa. 2. El ejercicio de estas libertades, que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones, restricciones o sanciones, previstas por la ley, que constituyan medidas necesarias, en una sociedad democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la autoridad y la imparcialidad del poder judicial. En la Declaración de Principios de la Cumbre Mundial sobre la Sociedad de la Información, de 2003 (párrs. 24-26) (que se encuentra en: http://www.itu.int/wsis/docs/geneva/official/dop-es.html) se recalca lo siguiente: La capacidad universal de acceder y contribuir a la información, las ideas y el conocimiento es un elemento indispensable en una Sociedad de la Información integradora. Es posible promover el intercambio y el fortalecimiento de los conocimientos mundiales en favor del desarrollo si se eliminan los obstáculos que impiden un acceso equitativo a la información para actividades económicas, sociales, políticas, sanitarias, culturales, educativas y científicas, y si se facilita el acceso a la información que está en el dominio público, lo que incluye el diseño universal y la utilización de tecnologías auxiliares. Un dominio público rico es un factor esencial del crecimiento de la Sociedad de la Información, ya que genera ventajas múltiples tales como un público instruido, nuevos empleos, innovación, oportunidades comerciales y el avance de las ciencias. La información del dominio público debe ser fácilmente accesible en apoyo de la Sociedad de la Información, y debe estar protegida de toda apropiación indebida. Habría que fortalecer las instituciones públicas tales como bibliotecas y archivos, museos, colecciones culturales y otros puntos de acceso comunitario, para promover la preservación de las constancias documentales y el acceso libre y equitativo a la información. Parte III. Apéndices sobre la privacidad y la protección de los datos A continuación se presenta una selección de los textos que más probablemente sean útiles para los legisladores y otras autoridades gubernamentales. Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales (1980, revisión de 2013) La Resolución de Madrid: Estándares Internacionales sobre Protección de Datos Personales y Privacidad (2009) Marco de Privacidad de APEC (2004) Sistema de Reglas de Privacidad Transfronteriza de APEC Directiva 2002/58/EC del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas (12 de julio de 2002) Directiva 95/46/EC del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (24 de octubre de 1995) Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (No 108, 28 de enero de 1981) y su Protocolo (2001) Principios rectores de las Naciones Unidas para la reglamentación de los ficheros computadorizados de datos personales (1990) - 26 - Convenio de la Unión Africana sobre Ciber seguridad y Datos Personales (adoptado el 27 de junio de 2014)
